Опечатался)
Обычно, 5985

А есть у WEC ещё клиенты с Win2019? С ними всё хорошо?
Можно попробовать выполнить на клиенте, после того, как события перестанут поступать:
winrm get winrm/config -r:http://wec.domain.local:5685
На клиенте посмотреть в журнал Microsoft-Windows-Forwarding/Operational и убедиться, что подписка применилась и никаких доп ошибок нет.
На коллекторе - Microsoft-Windows-EventCollector/Operational.

Ещё бы посмотреть с какого IP (v4/v6) обращается источник, скорее всего, получится увидеть только в трафике или в логах сетевых соединений.

Всем привет. Подскажите, кто настраивал самостоятельно WEC, почему после создания подписки с фильтром XML приходит cсервера события минут 5 и затем перестают поступать в журнал ForwardedEvent.После отключения, включения и повтора подписки не решается проблема. Если удалить и заново создать копию подписки, то события начинаю снова поступать с этого сервера и после 5 минут событий нет. Пробовал отдельно для АРМ создать подписку и тоже самое.  При этом на АРМ в журнале Windows Remote Management успешные события с кодом 132 Кто стакивался? Тип подписки инициировано исходным компьютером, количество компьютеров 1000. Но на сервере WEC в журнале Windows Remote Management наблюдаются события "Сбой авторизации пользователя с ошибкой 5" с кодом 192. В фильтре XML  указал события за последний час.

Добрый вечер. Кто сталкивался? Обновился до К23.1 теперь ошибки при валидации контента. При валидации правил корреляции "Unknown SiemSerializerErrors.SerializeConflicts". При валидации табличных списков - "Unknown Compile.NoDataToCompile"

табличные списки отдельно не валидируются. по правилам корреляции - ищите два правила с разными названиями, но одинаковыми идентификаторами

Добрый день, подскажите пожалуйста, как мне активировать MaxPatrol offline?

Добрый день!
Настраиваю сбор событий по syslog. Подскажите, пжл, где узнать свой адрес ядра core для отправки на него событий authpriv в rsyslog.conf?

посмотреть просто адрес на машине с агентом, куда этот трафик нужно отправить?

в сиеме еще не замутили вызов внешних приложений в корреляциях? например Python скриптов?